Kevin Rose, el cofundador de la colección de tokens no fungibles (NFT) Moonbirds, ha sido víctima de una estafa de phishing que provocó el robo de más de $ 1.1 millones de sus NFT personales.

El creador de NFT y cofundador de PROOF compartió la noticia con sus 1,6 millones de seguidores en Twitter el 25 de enero pidiéndoles que eviten comprar Squiggles NFT hasta que logren marcarlos como robados.

“Gracias por todas las amables palabras de apoyo. Se acerca el informe completo”, luego compartido en un tweet separado unas dos horas después.

Se entiende que los NFT de Rose se agotaron después de firmar una firma maliciosa que transfirió una proporción significativa de sus activos NFT al explotador.

Un independiente análisis de Arkham descubrió que el explotador extrajo al menos un Autoglyph (345 ETH), 25 Art Blocks, también conocido como Chromie Squiggle, (332.5 ETH) y nueve elementos OnChainMonkey (7.2 ETH).

En total, se extrajeron al menos 684,7 ETH (1,1 millones de dólares).

Cómo Kevin Rose fue explotado

Si bien se han compartido varios análisis independientes en cadena, el vicepresidente de PROOF, la compañía detrás de Moonbirds, Arran Schlosberg explicó a sus 9500 seguidores de Twitter que Rose “fue víctima de phishing para firmar una firma maliciosa” que permitió al explotador transferir una gran cantidad de fichas:

El criptoanalista “foobar” profundizó en el “aspecto técnico del hackeo” en una publicación separada el 25 de enero, explicando que Rose aprobó un contrato de mercado OpenSea para mover todos sus NFT cada vez que Rose firmaba transacciones.

Agregó que Rose siempre estuvo a “una firma maliciosa” de distancia de un exploit:

El criptoanalista dijo que, en cambio, Rose debería haber estado “almacenando” sus activos NFT en una billetera separada:

“Mover activos de su bóveda a una billetera de “venta” separada antes de cotizar en los mercados de NFT evitará esto”.

Otro analista en cadena, “Quit”, dijo a sus 71,400 seguidores de Twitter, explicó además que el contrato de mercado de Seaport permitió la firma maliciosa, la plataforma que impulsa OpenSea:

Quit explicó que los explotadores pudieron configurar un sitio de phishing que pudo ver los activos de NFT en la billetera de Rose.

Luego, el explotador establece una orden para que todos los activos de Rose que están aprobados en OpenSea se transfieran al explotador.

Rose luego validó la transacción maliciosa, señaló Quit.

Relacionado: El proyecto Bluechip NFT, Moonbirds, firma con agentes de talento de Hollywood UTA

Mientras tanto, foobar señaló que la mayoría de los activos robados estaban muy por encima del precio mínimo, lo que significa que la cantidad robada podría llegar a los 2 millones de dólares.

Quit instó a los usuarios de OpenSea a que “deban huir” de cualquier otro sitio web que solicite a los usuarios que firmen algo que parezca sospechoso.

NFT en movimiento

El analista en cadena “ZachXBT” compartió un mapa de transacciones con sus 350.300 seguidores de Twitter, que muestra que el explotador envió los activos a FixedFloat, un intercambio de criptomonedas en la capa 2 de Bitcoin “Lightning Network”.

Luego, el explotador transfirió los fondos a Bitcoin (BTC) y antes de depositar el BTC en un mezclador de Bitcoin:

El miembro de Crypto Twitter “Degentraland” les dijo a sus 67,000 seguidores de Twitter que era “la cosa más triste” que habían visto en el espacio de las criptomonedas hasta la fecha, y agregó que si alguien puede recuperarse de una hazaña tan devastadora, “es él”:

Mientras tanto, el fundador de Bankless, Ryan Sean Adams, se enfureció con la facilidad con la que se pudo explotar a Rose. En el 25 de enero Pío, Adams instó a los ingenieros de front-end a retomar su juego y mejorar la experiencia del usuario (UX) para evitar que se produzcan este tipo de estafas.